基本情報技術者 2015年 秋期 午前(科目A) 問60
問題文
スプレッドシートの処理ロジックの正確性に関わるコントロールを監査する際のチェックポイントはどれか。
選択肢
ア:スプレッドシートの作成者と利用者が同一であること
イ:スプレッドシートのバックアップが行われていること
ウ:スプレッドシートのプログラムの内容が文書化され検証されていること(正解)
エ:スプレッドシートの利用者が定められていること
スプレッドシートの処理ロジックの正確性に関わるコントロールを監査する際のチェックポイントはどれか【午前2 解説】
要点まとめ
- 結論: スプレッドシートの処理ロジックの正確性を監査するには、プログラム内容の文書化と検証が最重要です。
- 根拠: 文書化と検証により数式やマクロの意図、前提条件、設計変更履歴が確認でき誤りの発見と再現が可能になります。
- 差がつくポイント: 単なるバックアップや利用者の割当だけでなく、設計・実装・検証の証跡(テスト結果やレビューログ)を重視します。
正解の理由
正解は ウ です。処理ロジックの「正確性」を担保するためには、スプレッドシート内の数式やマクロ、計算フローがどのように設計され実装されたかを明文化し、第三者による検証やテストで動作が意図通りであることを確認する必要があります。文書化は仕様(入力、出力、前提条件、計算ロジック)を明確にし、検証はその仕様に照らして誤りや抜けを検出するプロセスだからです。
よくある誤解
- バックアップがあればロジックも正しい: バックアップはデータ喪失対策であり、ロジックの妥当性を評価する手段ではありません。
- 利用者が定められていれば設計品質は担保される: 利用者管理はアクセス制御であり、計算が正しいかどうかには直接関係しません。
- 作成者=利用者なら問題ない: 個人だけで作成・利用するとチェックが甘くなりバグが見落とされやすくなりますが、それ自体がロジックの正確性を保証しません。
解法ステップ
- 問題文から注目語句を抽出:「処理ロジックの正確性」「コントロール」「監査」。
- 各選択肢が「ロジックの正確性」に直接寄与するかを検討する。
- ロジック確認に必要なのは「仕様の明示」と「検証可能性」であるため、それを満たす選択肢を選ぶ。
- 残りは補助的なコントロール(バックアップ、利用者管理等)として除外する。
選択肢別の誤答解説
- ア: スプレッドシートの作成者と利用者が同一であること
- 誤答の理由: 作成者と利用者が同一でもチェックが自発的に行われないことが多く、誤りの検出や独立した検証が期待できません。
- イ: スプレッドシートのバックアップが行われていること
- 誤答の理由: バックアップはデータ保全の観点で重要ですが、数式やマクロの論理的誤りを検出・修正するための手段ではありません。
- ウ: スプレッドシートのプログラムの内容が文書化され検証されていること(正解)
- 理由: 文書化により設計意図と前提が明確になり、検証により実装が意図通りかを確認できるため、処理ロジックの正確性に直結します。
- エ: スプレッドシートの利用者が定められていること
- 誤答の理由: 利用者の明確化は責任所在の明示に有効ですが、計算ロジックの正当性そのものを保証するものではありません。
補足コラム
スプレッドシートは手軽さゆえに業務ロジックがブラックボックス化しやすく、重大な計算ミスやデータ不整合を生みます。監査観点では以下のようなコントロールが実務的に有効です。
- 文書化: 目的、入力・出力項目、主要数式、マクロのアルゴリズム、前提条件、想定される異常系を記載する。
- 検証: 単体テスト、再計算による検算、ピアレビュー、独立した再現テストを実施する。
- 変更管理: バージョン管理、変更理由の記録、承認プロセスを設ける。
- アクセス制御: 編集可能セルの限定やシート保護、マクロの署名などで不正変更を防ぐ。
- 運用移行: 重要ロジックは可能なら管理されたアプリケーションへ移行し、スプレッドシートは短命で扱う。
実務チェックリスト例(簡易): 仕様書有無、主要数式の説明、テストケースと結果、レビューログ、バージョン履歴、セル保護設定。
FAQ
Q1: バックアップは不要ですか?
A1: 不要ではありません。バックアップは必須のデータ保護手段ですが、ロジックの妥当性確認とは役割が別です。両方必要です。
A1: 不要ではありません。バックアップは必須のデータ保護手段ですが、ロジックの妥当性確認とは役割が別です。両方必要です。
Q2: どの程度の文書化が必要ですか?
A2: 主要な入力・出力、前提条件、重要数式やマクロの処理フロー、テストケースが分かるレベルが最低限です。
A2: 主要な入力・出力、前提条件、重要数式やマクロの処理フロー、テストケースが分かるレベルが最低限です。
Q3: 検証は誰がすべきですか?
A3: 開発者以外の第三者(ピアレビューや独立監査)が実施するとバイアスを減らせます。利用部門とITの両面から検証するのが望ましいです。
A3: 開発者以外の第三者(ピアレビューや独立監査)が実施するとバイアスを減らせます。利用部門とITの両面から検証するのが望ましいです。
Q4: 小規模のスプレッドシートでも文書化は必要ですか?
A4: 重要度・影響度に応じて差はありますが、業務に影響を与えるものは簡易でも文書化し検証の証跡を残すことを推奨します。
A4: 重要度・影響度に応じて差はありますが、業務に影響を与えるものは簡易でも文書化し検証の証跡を残すことを推奨します。
関連キーワード: スプレッドシート, 内部統制, 文書化, 検証, バージョン管理, セル保護, バックアップ, 利用者管理, 監査チェックポイント, ロジック検証
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!